BITTER(蔓灵花)针对巴基斯坦和沙特阿拉伯发起了一波攻击
BITTER(蔓灵花),经过研究人员的连续炮轰分析之后,目前大概率可以认为其是为来自神奇国度的APT组织,与白象,孔子联系紧密。
而平底锅这波披露了该组织的新目标,沙特阿拉伯,并重命名了一个下载器。并且,好多巴铁站都被日完当成C2
下面是其具体分析。
从2018年9月中旬到2019年1月,分析人员观察了用于针对巴基斯坦和沙特阿拉伯进行攻击组织的下载器变种:ArtraDownloader。
目前已经确定了几个恶意文件,所有这些文件都与被入侵的巴基斯坦网站进行通信,这些网站包括与巴基斯坦政府和其他巴基斯坦组织有关的网站。
从2018年9月12日开始,在https://wforc[.]pk/js/上观察了以下名称的文件。
Internet Data Traffic Report – August 2018.docx
(互联网数据流量报告 - 2018年8月.docx)
PAF Webmail Security Report.doc.exe
(PAF Webmail安全报告.doc.exe)
攻击目标为针对沙特阿拉伯电气供应商的雇员。
恶意文件与nethosttalk[.]com通信。
在同一时间范围内,观察到另外两个文件(如下所列)被托管在另一个巴基斯坦网站上。这些可执行文件具有以下名称,托管在URL: khurram.com[.]pk/js/drvn 上,并与域名nethosttalk[.]com进行通信。
可执行文件名称
Handling of Logistics.pdf[.]com (物流的处理)
Cyber security work shop.pdf[.]com (网络安全工作shop)
从2018年11月6日开始,http://rmmun.org[.]pk/svch 托管了两个与域info.viewworld71[.]om或hewle.kielsoservice[.]net
进行通信的ArtraDownloader文件。
RMMUN,Roots Metropolitan Model United Nations是一个有组织的活动,于2018年11月8日至11日举行,旨在促进人权和经济发展等问题的合作和见解。网站被入侵后从而借此钓鱼
2018年11月至2019年1月,巴基斯坦的一家工程和液压公司
almasoodgroup[.]com
观察到托管了两个AtraDownloader可执行文件以及用于提供有效载荷的恶意文件。
其中一个文件Port Details.doc是一个利用CVE-2017-11882的RTF文档。
此文件下载了一个payload,该payload也与hewle.kielsoservice[.]net进行通信。
工程公司域上托管的其他两个文件与命令和控制域 xiovo426[.]net 进行通信。
1月2日,文件article_amy.doc也上传到VirusTotal。
该文件托管在almasoodgroup[.]com/js/cwqj上,并与C2域thepandaservices.nsiagenthoster[.]net进行了通信。
almasoodgroup[.]com应该是被入侵的站点。
在2018年12月17日和18日,用户在12月的最后一周,从
http://fst.gov.pk/images/winsvc下载了一个文件。
此payload是ArtraDownloader变体1的一个实例,利用CVE-2017-11882。
使用hewle.kielsoservice.net / Engset.php 作为C2。
ArtraDownloader的样本最早具有2015年2月的编译时间戳,因此该代码可能存在时间较长,下列为下载器变种以及编译时间分布图,可见版本交错存在。
总体而言,ArtraDownloader恶意软件系列并不复杂,利用简单的注册表项来实现持久性,并利用HTTP请求下载和执行远程文件。通过在字符串中的每个字节中添加或减去来对这些样本中的重要字符串进行模糊处理。当通过HTTP发送数据时,使用相同的混淆例程。
有趣的是,在此分析过程中,发现在先前分析的payload中看到的基础设施。
2017年11月,分析人员报告了从域 zmwardrobe[.]com下载并随后执行称为MY24的有效负载的恶意文档。
2017年9月和10月都观察到了此活动。
2017年11月,首次观察到ArtraDownloader查询相同的域名; 这持续到2018年2月。两个有效载荷都在InPage漏洞中观察到。
迄今为止,BITTER使用名为ArtraDownloader的定制下载恶意软件系列来攻击巴基斯坦,中国和沙特阿拉伯。此下载程序利用独特的自定义混淆方法,通过HTTP下载并执行BitterRAT恶意软件系列。
多个组织受到影响或被发现托管BITTER使用的恶意软件,包括巴基斯坦政府,工程公司和电气供应商。
原文链接:
https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/
原文还有下载器三个变种的简单分析,有兴趣的可以看看。
攻击沙特的原因大概便是和巴基斯坦比较友好??
变种一
变种二
c:\Users\Asterix\Documents\Visual Studio 2008\Projects\28NovDwn\Release\28NovDwn.pdb
get请求
变种三
d:\C++\new_downloader_aroundtheworld123\Release\audiodq.pdb
BITTER(蔓灵花)针对巴基斯坦和沙特阿拉伯发起了一波攻击相关推荐
- 针对巴基斯坦的某APT活动事件分析
本文讲的是针对巴基斯坦的某APT活动事件分析, 事件背景 2017年6月,360威胁情报中心发现了一份可疑的利用漏洞执行恶意代码的Word文档,经过分析后,我们发现这有可能是一起针对巴基斯坦的政府官员 ...
- 新披露的APT组织white company,针对巴基斯坦进行Shaheen攻击活动Lazarus组织最新活动各类安全资源...
大佬觉得有用就转发一下呗,点个关注,给点阳光 威胁情报: 一. 新披露APT组织white company,针对巴基斯坦空军发起Shaheen攻击活动 该组织由cylance公司最新披露,详细报告14 ...
- AAAI 2020 开源论文 | 一种针对图嵌入模型的受限黑盒对抗攻击框架
AAAI(人工智能促进协会年会)是人工智能领域的顶级国际会议之一.今年的 AAAI 2020 是第 34 届,于 2 月 7 日至 12 日在美国纽约举行.今年,第 3 次参会的腾讯 AI Lab 共 ...
- CVPR 2019 | 针对人脸识别系统的高效黑盒对抗攻击算法
本工作提出了一种高效的基于决策的黑盒对抗攻击算法,在业内第一次以完全黑盒的方式成功地实现对人脸识别系统的对抗攻击.本工作由腾讯 AI Lab 主导,与清华大学,香港科技大学联合完成,发表于 CVPR ...
- 追踪调查来自印度的针对中国和南亚国家的大规模APT攻击
016年8月,Forcepoint 发布了一个APT攻击的追踪报告.该报告由Forcepoint安全实验室特别调查小组长期独立追踪完成.该调查小组隶属于Forcepoint安全实验室,由优秀的恶意软件 ...
- 披露针对安卓手机的高级SMS网络钓鱼攻击,可被远程安装恶意设置项
本文会过多涉及OMACP,有的小伙伴可能会感到陌生,实际上其就是手机里的OMACP应用,英文为 OMA(Open Mobile Alliance) Client Provisioning 协议实例,或 ...
- 摄像头和激光雷达都被蒙蔽?UCI首次提出针对自动驾驶多传感器融合感知的攻击...
作者丨汪宁非 编辑丨机器之心 来自加州大学尔湾分校(UC Irvine)的研究者发现,L4 自动驾驶里用的最广泛的用来提高系统鲁棒性的多传感器融合感知(Multi-Sensor Fusion base ...
- windows mac linux 木马,针对Linux Windows macOS系统Adwind木马广告攻击
研究人员发现了针对Linux,Windows和macOS系统的新Adwind广告系列. Adwind是一种远程访问特洛伊木马(RAT),最近发现的广告系列中使用的示例是Adwind 3.0 RAT,并 ...
- 乔戈里入职一周年,花了800大洋去体验了一波密室逃脱
密室一 密室一数学题 入职一周年奖励自己去玩了密室逃脱,一进门就看到有一张卡片,拿起来读了一些,前面介绍了密室逃脱的背景,乔戈里当是因为晚到了一会儿,担心解不完,就直接略过,直接看最后的题目介绍: 就 ...
最新文章
- 美团外卖美食知识图谱的迭代及应用
- jQuery的.bind()、.live()和.delegate()之间区别
- Python基本语法_基本数据类型_序列类型详解
- python入门基础教程02 Python简介
- Python requests 笔记(一)
- jQuery-对Select的操作集合
- 关于一道数据库例题的解析。为什么σ age22 (πS_ID,SCORE (SC) ) 选项是错的?
- @select 怎么写存储过程_MySQL4:存储过程和函数
- PHP笔记——java程序员看懂PHP程序
- Mysql命令行下实现数据的导入
- 捷信达会员管理系统SQL语句相关
- 【Luogu】【关卡1-8】BOSS战-入门综合练习2(2017年10月)【AK】------都是基础题
- html5 本地mysql_html5本地数据库(一)
- 2021 泰迪杯 A 题思路
- 偏最小二乘法(PLS)Python代码
- c语言四个人中有一个人是小偷,、甲,乙,丙,丁四个人中有一个人是小偷,请根据四个人的谈话判断谁是小偷?已知四个人中有一个人说假话...
- Win10分屏HDMI检测不到显示器
- GitHub 各种开源项目
- UE5学习笔记——前言
- opencv里的Moments成员变量的理解